在当今云原生时代，Kubernetes（简称K8s）已成为容器编排的事实标准。但随着集群规模的扩大，SSL/TLS证书的安全性往往成为被忽视的“隐形炸弹”。本文将用最通俗的语言，结合真实漏洞案例，带你彻底掌握Kubernetes中SSL证书的配置与管理技巧。

一、为什么K8s中的SSL证书如此重要？

想象一下：你的集群内部服务之间通信就像快递员送包裹。如果没有SSL证书（相当于没给包裹上锁），黑客可以：

- 中间人攻击：截获Pod之间的通信（如数据库密码明文传输）

- 仿冒API Server：伪造Kubernetes控制平面窃取集群权限

*真实案例*：2025年某电商平台因Ingress控制器使用自签名过期证书，导致攻击者伪造网关窃取用户支付数据。

二、四大核心场景与配置示例

场景1：Ingress HTTPS终结

```yaml

apiVersion: networking.k8s.io/v1

kind: Ingress

metadata:

name: secure-app

spec:

tls:

- hosts:

- shop.example.com

secretName: tls-secret

证书保存在这个Secret中

rules:

- host: shop.example.com

http:

paths: [...]

```

关键点：

- 证书需提前存入Secret：`kubectl create secret tls tls-secret --cert=server.crt --key=server.key`

- 常见错误：忘记设置HSTS头，导致降级攻击

场景2：Pod间mTLS加密

使用Service Mesh工具如Istio时：

apiVersion: security.istio.io/v1beta1

kind: PeerAuthentication

name: default

mtls:

mode: STRICT

强制双向认证

*效果*：就像给每个Pod发了一张员工工牌，只有验证通过的才能对话。

场景3：API Server安全加固

检查当前证书配置：

```bash

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text | grep Validity -A2

危险信号：若输出`Validity Not After : Dec 31 23:59:59 9999`（永久有效），等同于把家门钥匙焊死在锁上。

场景4：定期轮换证书（CIS基准要求）

使用cert-manager自动化管理：

apiVersion: cert-manager.io/v1

kind: Certificate

name: my-cert

secretName: my-cert-tls

duration: 2160h

90天有效期

renewBefore: 720h

到期前30天自动续期

三、五个必查的安全雷区（附检测命令）

1. 过期证书扫描

```bash

kubectl get secrets --all-namespaces -o json | jq '.items[] | select(.type=="kubernetes.io/tls") | .metadata.name + "到期时间:" + (.data."tls.crt" | @base64d | openssl x509 -noout -enddate)'

```

2. 弱加密算法检测

nmap --script ssl-enum-ciphers -p443 your-ingress-service.com

3. 特权容器滥用

kubectl get pods --all-namespaces -o json | jq '.items[] | select(.spec.containers[].securityContext.privileged==true)'

4. 默认Service Account令牌

kubectl get serviceaccount default -o yaml | grep automountServiceAccountToken

5. etcd未加密通信

ps aux | grep etcd | grep --color=auto "\--cert-file\|\--key-file\|\--peer-cert-file"

四、实战演练：修复一个漏洞集群

假设我们通过工具检测发现：

- API Server证书剩余3天过期

- Ingress使用SHA1算法（已不安全）

修复步骤：

1. 紧急更新API Server证书

```bash

kubeadm alpha certs renew apiserver --config=/etc/kubernetes/kubeadm-config.yaml

systemctl restart kubelet

2. 替换Ingress证书为ECDSA+SHA256

openssl ecparam -genkey -name prime256v1 > server.key

openssl req -new -x509 -sha256 -key server.key -out server.crt

kubectl create secret tls new-tls --cert=server.crt --key=server.key --dry-run=client -o yaml > new-secret.yaml

kubectl apply -f new-secret.yaml

五、进阶工具推荐

|工具名称|用途|典型场景|

||||

|cert-manager|自动颁发/续期|Let's Encrypt免费证书|

|Vault|集中式CA管理|跨集群统一签发|

|kube-bench|CIS合规检查|发现错误配置|

|falco|实时监控异常访问|检测非法证书挂载|

：在K8s中管理SSL证书就像维护城市的地下管网——平时看不见，一旦出问题就是灾难性的。记住三个黄金法则：

1?? 最小有效期原则（不超过90天）

2?? 自动化一切可能的手动操作

3?? 定期用kube-bench做安全体检

现在就用`kubectl get certificates --all-namespaces`检查你的集群吧！

TAG:kubernetes ssl证书,kubectl 证书,kubernetes证书含金量,k8s ssl证书